Yeniden ortaya çıkanların arkasındaki yazarlar ZYükleyici Kötü amaçlı yazılım, temel aldığı Zeus bankacılık truva atında orijinal olarak mevcut olan bir özelliği ekledi ve bu da onun aktif olarak geliştirildiğini gösteriyor.
Zscaler ThreatLabz araştırmacısı Santiago Vicente teknik bir raporda “En son sürüm olan 2.4.1.0, orijinal enfeksiyondan farklı makinelerde yürütmeyi önleyen bir özellik sunuyor” dedi. “Benzer bir anti-analiz özelliği sızdırılan ZeuS 2.X kaynak kodunda da mevcuttu ancak farklı şekilde uygulandı.”
Terdot, DELoader veya Sessiz Gece olarak da adlandırılan ZLoader, 2022’nin başlarında yayından kaldırılmasının ardından Eylül 2023 civarında yaklaşık iki yıllık bir aradan sonra ortaya çıktı.
Sonraki aşamadaki verileri yükleme kapasitesine sahip modüler bir truva atı olan kötü amaçlı yazılımın son sürümleri, etki alanı oluşturma algoritmasında (DGA) güncellemelerin yanı sıra RSA şifrelemesini de ekledi.
ZLoader’ın gelişiminin en son işareti, ikili dosyanın yürütülmesini virüslü makineyle sınırlayan bir anti-analiz özelliği biçiminde geliyor.
2.4.1.0’dan daha büyük sürümlere sahip yapıtlarda bulunan bu özellik, kötü amaçlı yazılımın, ilk enfeksiyondan sonra başka bir sistemde kopyalanıp çalıştırılması durumunda aniden sona ermesine neden olur. Bu, belirli bir anahtar ve değer için Windows Kayıt Defteri kontrolü aracılığıyla gerçekleştirilir.
Vicente, “Kayıt defteri anahtarı ve değeri, her örnek için farklı olan sabit kodlanmış bir tohuma dayalı olarak oluşturulur” dedi.
“Kayıt defteri anahtarı/değer çifti manuel olarak oluşturulursa (veya bu denetime yama uygulanırsa), ZLoader kendisini yeni bir işleme başarılı bir şekilde enjekte edecektir. Ancak, yalnızca birkaç talimatın yürütülmesinden sonra tekrar sonlandırılacaktır. Bunun nedeni, ikincil bir denetimdir. ZLoader’ın MZ başlığı.”
Bu, tohum ve MZ başlık değerleri doğru şekilde ayarlanmadığı ve orijinal olarak güvenliği ihlal edilen sistemdeki tüm Kayıt Defteri ve disk yolları/adları kopyalanmadığı sürece ZLoader’ın çalışmasının farklı bir makinede duracağı anlamına gelir.
Zscaler, Zloader’ın kurulum bilgilerini depolamak ve farklı bir ana bilgisayar üzerinde çalıştırılmasını önlemek için kullandığı tekniğin, farklı bir şekilde uygulanmış olsa da ZeuS sürüm 2.0.8 ile benzerlikler paylaştığını ve bunun yerine yapılandırmayı depolamak için PeSettings adı verilen bir veri yapısına dayandığını söyledi. Kayıt Defteri.
Vicente, “Son sürümlerde ZLoader, sistem enfeksiyonlarına karşı gizli bir yaklaşım benimsedi” dedi. “Bu yeni anti-analiz tekniği, ZLoader’ın tespit edilmesini ve analiz edilmesini daha da zorlaştırıyor.”
Bu gelişme, tehdit aktörlerinin, Weebly gibi popüler meşru platformlarda barındırılan sahte web sitelerini kullanarak kötü amaçlı yazılımları yaymak ve siyah şapkalı arama motoru optimizasyonu (SEO) teknikleri yoluyla veri çalmak için kullanılmasıyla ortaya çıkıyor.
Zscaler araştırmacısı Kaivalya Khursale, “Bu, sahte sitelerin kullanıcının arama sonuçlarında en üst sıralara çıkmasını sağlayarak, yanlışlıkla kötü amaçlı bir siteyi seçme ve sistemlerine kötü amaçlı yazılım bulaştırma olasılığını artırıyor” dedi.
Bu kampanyaların dikkate değer bir yönü, ziyaretin Google, Bing, DuckDuckGo, Yahoo veya AOL gibi arama motorlarından kaynaklanması ve sahte sitelere doğrudan erişilmemesi durumunda, enfeksiyonun yalnızca yük dağıtım aşamasına ilerlemesidir.
Veriti’nin bulgularına göre, son iki ay içinde ABD, Türkiye, Mauritius, İsrail, Rusya ve Hırvatistan’daki kuruluşları, Ajan Tesla için kolaylaştırıcı görevi gören Taskun kötü amaçlı yazılımıyla hedef alan e-posta tabanlı kimlik avı kampanyaları da gözlemlendi.